|
|
情報管理規程
情報漏洩の事例が頻繁におきています。企業にとって、情報漏洩を防ぐための対策が必要になっています。
また、情報漏洩の多くは個人情報の流出にからんだものですが、個人情報の保護はプライバシー権との関係でも重要です。
情報漏洩に対しては情報セキュリティポリシー、個人情報の保護はプライバシーポリシーが必要です。
このポリシーを文書化したものが、情報管理規程です。
--------------------
●情報セキュリティポリシー
企業ではコンピュータやネットワークの情報システムを基盤にして業務が行なわれていますので,その情報システムにトラブルが発生すると日常の業務すら円滑に行なえません。
また、重要な機密情報も取り扱っていますので、それを破壊されたり権限のない者に見られると大きな損害になります。
情報システムに脅威を与える対象には、火災や地震などの自然災害、機器の誤動作、人間の過失,ウイルス,不正アクセスなど多種多様です。
社内社外のネットワークが進展した今日では、情報システムの維持は自社だけの問題ではなく,社会的な問題でもあるのです。
そこで、保有する全ての情報資産の保護に努め、情報セキュリティに関する法令その他の規範を遵守することにより、社会からの信頼を常に得られるよう、情報セキュリティ管理体制を構築する必要があります。
まず、統括管理責任者、管理責任者、管理責任者補佐、管理者をおいて、技術的、物理的安全措置を講じ、全社レベルの情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう積極的な活動を行います。
次に、情報セキュリティポリシーに基づき、セキュリティ管理規程を整備するとともに、その他の社内規程を運用し、情報漏えい等に対しては、厳しい姿勢で臨むことを社内外に周知徹底します。
次に、セキュリティ規程及びマニュアル等への準拠性に対する内部監査を実施できる体制を整備します。
そして、情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害などが発生しないよう情報管理システムにはファイアーウォールの設定をし、インターネットからの不正なアクセスを防ぐための対策を講じます。
また、情報管理システムの設置場所について、安全性を保ち、不正な立入りを阻止するとともに、パソコン及び記憶媒体の持ち運びを制限することで、情報資産を保護し、企画運営の継続性の確保に努めます。
--------------------
●個人情報保護法
個人情報保護法の目的は第1条で示されています。
「この法律は,高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ,個人情報の適正な取扱いに関し,基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め,国及び地方公共団体の責務等を明らかにするとともに,個人情報を取り扱う事業者の遵守すべき義務等を定めることにより,個人情報の有用性に配慮しつつ,個人の権利利益を保護することを目的とする。」
●プライバシーポリシー
収集した個人情報は、その方の人権を尊重することを常に意識して取り扱います。
また、個人情報保護法の適切な取扱いのためのガイドライン等を遵守し、情報管理規程を定めて取り組みます。
個人情報の利用は、法人事業の利用に関わる人(利用者・家族・関係者・職員等)の個人情報を一定の目的のために収集・活用します。
また、公的機関または本人の家族などに対して個人情報を開示する場合があります。
・裁判所や警察などの公的機関から、法律に基づく正式な開示要求を受けた場合
・人の生命・身体・財産等に関する差し迫った危険があり、緊急を要すると情報管理責任者が判断した場合
これ以外の目的に使用したり、第三者に提供・開示することはしません。
そして、保有した個人情報の管理には細心の注意を払うとともに、情報管理委員会を設置し情報管理責任者の下に適切な管理に努めます。
本人からの情報の開示等の請求があった場合の受付窓口を法人総務部に設置するとともに、すみやかに所定の方法で対応します。
保有期限を経過した個人情報、または当初の目的を達成して不要となった個人情報は、速やかに復元できないような状態で廃棄します。
個人情報に関わる苦情等の窓口を各事業所責任者とし、各事業所内にその氏名、連絡先を掲示します。
個人情報の運用に関わる法人の方針等についてホームページで公表し、使用方法等の改訂についてもここで明らかにします。
--------------------
個人情報管理規程例;
第1条(目的)
第2条(定義)
第3条(管理責任者)
第4条(管理責任者の責務)
第5条(複写・複製の禁止)
第6条(管理)
第7条(利用)
第8条(個人情報及び秘密書類の廃棄)
第9条(個人情報の創出に関する申告)
第10条(他の保有する個人情報等の秘密の取得に関する申告)
第11条(秘密保持義務)
第12条(誓約書)
第13条(個人情報等及び秘密書類の返還)
第14条(適用範囲)
第15条(制裁)
第16条(規程の変更)
附則 (施行)
--------------------
参考資料;
・経済産業省「情報システム安全対策基準」(平成7年8月制定,平成9年9月改正)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
・経済産業省「コンピュータ不正アクセス対策基準」(平成8年告示,平成12年改訂)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu06j.pdf
・刑法
http://law.e-gov.go.jp/htmldata/M40/M40HO045.html
電磁的記録不正作成罪(第162条の2)
電子計算機損壊等業務妨害罪(第234条の2)
電子計算機使用詐欺罪(第246条の2)
不正指令電磁的記録作成等(第168条の2)
不正指令電磁的記録取得等(第168条の3)
わいせつ物頒布等の罪(第175条)の改正
・電気通信事業法(平成17年7月改正)
http://law.e-gov.go.jp/htmldata/S59/S59HO086.html
・特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律
(平成13年11月成立,平成14年5月施行)
http://law.e-gov.go.jp/htmldata/H13/H13HO137.html
・経済産業省「システム監査基準」(昭和60年1月告示,平成16年10月改訂)
システム監査基準(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf)
システム管理基準(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf)
・情報セキュリティ管理基準
Ver.1.0
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf
・情報セキュリティ監査基準
Ver.1.0
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
・ISMS(Information
Security Management
System)適合性評価制度(平成15年4月。Ver.2.0平成15年4月)
http://www.isms.jipdec.jp/about/index.html
・経済産業省「事業継続計画策定ガイドライン」(2005年3月)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf
・内閣府「事業継続ガイドライン」(第一版 2005年8月)
http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
・中小企業庁「中小企業BCP策定運用指針」(2006年2月)
http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_00.html
・日本版SOX法
・個人情報の保護に関する法律(平成15年)
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
・プライバシーマーク
(財)日本情報処理開発協会(JIPDEC)
|
|
|
|
|
